Место коммерческой безопасности в общей теории менеджмента

Размещено на http://www.allbest.ru/

Федеральное агентство по образованию

Березниковский филиал

Государственного образовательного учреждения высшего профессионального образования

"ПЕРМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ"

Кафедра экономики

"Место коммерческой безопасности в общей теории менеджмента"

информация персонал менеджмент конфиденциальный

Березники, 2011

При отсутствии на предприятии эффективной системы защиты конфиденциальной информации, а также системы мониторинга соблюдения персоналом соответствующих правил и санкций за их нарушение угрозы неумышленной утечки информации быстро приобретают массовый характер.

Процесс защиты информации, составляющей коммерческую тайну, предполагает проведение превентивных и текущих мер, направленных на работу с персоналом. Реализация мер предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности. Персонал предприятия часто является основным субъектом реализации угроз информационной безопасности.

В деле защиты конфиденциальной информации предприятия от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз.

Представляется целесообразным рассмотреть персонал предприятия как источник угроз информационной безопасности и предложить возможную к внедрению систему управления персоналом предприятия в целях обеспечения информационной безопасности.

Формы реализации угроз информационной безопасности предприятия разнообразны по своему характеру и содержанию, что объективно затрудняет процесс противодействия им. При этом сотрудники предприятия могут действовать как по собственной инициативе, так и под влиянием сторонних для предприятия третьих лиц. Рассмотрим основные формы реализации угроз информационной безопасности:

1) перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат. Перехват информации может осуществляться с использованием разнообразных методов - путем простого подслушивания разговоров коллег по работе, использования технических средств (подслушивающих устройств), копирования конфиденциальных документов или электронных баз данных;

2) хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи - приобретает соответствующие сведения и лишает их предприятие. Специфика рассматриваемой угрозы заключается в том, что объектом хищения может стать не только конфиденциальная, но и вполне открытая информация, необходимая ее собственнику для нормального функционирования;

3) повреждение или уничтожение информации, в результате которого субъектом угрозы достигается лишь задача нанесения ущерба предприятию. Причиной сознательного уничтожения информации, как правило, являются соображения личной мести работодателю;

4) искажение нелояльным сотрудником конфиденциальной информации, в результате которого специалисты предприятия - объекта угрозы могут принять изначально ошибочное управленческое решение.

Итак, наиболее распространенной причиной реализации угроз информационной безопасности российских работодателей является безответственность их персонала. Она проявляется в нарушении сотрудниками действующих на предприятии требований по обеспечению информационной безопасности, что приводит к утечке конфиденциальных сведений в самых различных формах.

Согласно общей теории менеджмента процесс управления включает в себя четыре функции: планирование, организацию, мотивацию и контроль. Именно в рамках этих функций предлагается осуществлять управление персоналом предприятия в целях обеспечения информационной безопасности.

Тогда планирование персонала - это подбор персонала и оформление допуска для работы с конфиденциальной информацией.

Организация - обучение сотрудников правилам и приемам работы с конфиденциальной информацией.

Мотивация сотрудников в целях обеспечения информационной безопасности может реализовываться в двух направлениях: путем поощрения и с помощью применения специальных санкций за соответствующие нарушения.

Контроль над сотрудниками предприятия должен носить комплексный и непрерывный характер.

Рассмотрим порядок реализации каждой из функций управления персоналом в целях обеспечения информационной безопасности.

Планирование персонала.

При приеме на работу рекомендуется проводить анкетирование, с помощью которого можно сделать выводы об уровне интеллекта, получить общее представление о кандидате как разносторонней личности, определить морально-психологический уровень, выявить возможные преступные наклонности и т.д.

В случае успешного прохождения кандидатом проверки и признания его соответствующим должности осуществляется заключение (подписание) двух документов:

а) трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию и соблюдать меры безопасности;

б) договора (обязательства) о неразглашении конфиденциальной информации, представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

Непосредственная деятельность вновь принятого работника в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.

Оформление допуска для работы с конфиденциальной информацией, которое также составляет основу планирования управления персоналом, производится на основании разграничения доступа к конфиденциальным документам.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам и пользователям, которым эта информация необходима для работы.

Разрешительная система допуска к конфиденциальным документам решает следующие задачи:

- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами;

- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

- обеспечение сотрудника всем необходимым для выполнения своих служебных функций;

- исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;

- рациональное размещение рабочих мест и коллективный контроль над работой сотрудников.

Разрешение на допуск и доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде. Таким образом, руководители несут персональную ответственность за правильность выдаваемых ими разрешений на допуск, а также доступ к конфиденциальным сведениям.

Организация персонала.

Организация персонала включает обучение сотрудников правилам и приемам работы с конфиденциальной информацией.

Обучение может быть дифференцировано в зависимости от срока работы сотрудников на предприятии - т.е. программа обучения для новых сотрудников и для сотрудников, которые имеют опыт работы в данной организации (более года - двух лет).

Обычно обучение новых сотрудников проводят руководители структурных подразделений, задачей обучения при этом является доведение до обучаемых правил обеспечения безопасности на конкретных рабочих местах в рамках исполняемых служебных обязанностей.

Организация последующей подготовки сотрудников осуществляется службой безопасности в режиме повышения профессиональной квалификации персонала. Формы соответствующей подготовки могут дифференцироваться следующим образом:

- для топ-менеджмента - это ознакомление со специальными информационно-аналитическими обзорами, ежеквартально направляемыми им за подписью руководителя службы безопасности;

- для руководителей структурных подразделений - ежеквартальные встречи с руководителем службы безопасности;

- для остального персонала - специальный инструктаж, который не реже одного раза в полгода проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях.

Мотивация.

Мотивация сотрудников предприятия в целях обеспечения его информационной безопасности может реализовываться по двум направлениям - путем применения поощрений и санкций.

Специальные поощрения (премии) за активную работу по укреплению информационной безопасности предприятия могут использоваться в отношении:

- сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций;

- сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности;

- руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания в части соблюдения правил обеспечения информационной безопасности;

- любых сотрудников организации, оказавших службе безопасности реальную помощь в выявлении источников угроз информационной безопасности.

Контроль.

Субъектами контроля выступают: руководители структурных подразделений; специалисты службы безопасности и ее внештатные сотрудники в структурных подразделениях; специалисты частных детективных агентств, приглашенные для проведения служебных расследований.

Объектами контроля являются два аспекта деятельности сотрудников организации:

- исполнение ими установленных правил обеспечения информационной безопасности работодателя;

- общая лояльность работодателю.

Профилактический контроль (оперативный мониторинг) соблюдения правил обеспечения безопасности работодателя может проводиться с использованием:

- плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдение в структурных подразделениях правил работы с конфиденциальной информацией, а также работоспособность технических средств защиты;

- мониторинга ситуации силами внештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений;

- мониторинга ситуации с использованием специальных технических средств наблюдения (например, камер видеонаблюдения).

Контроль лояльности персонала осуществляется службой безопасности в индивидуальном режиме в отношении двух категорий сотрудников.

Итак, при отсутствии на предприятии эффективной системы защиты конфиденциальной информации, а также системы мониторинга соблюдения персоналом соответствующих правил и санкций за их нарушение угрозы неумышленной утечки информации быстро приобретают массовый характер.

Процесс защиты информации, составляющей коммерческую тайну, предполагает проведение превентивных и текущих мер, направленных на работу с персоналом. Реализация мер предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности.

Размещено на Allbest.ru